1.kietw系列:本系列核心函式用於系統核心,這些函式只能從核心的內部進行呼叫,常用的有:kiusercallbackdispatcher、kiraiseuserexceptiondispatcher、kiuserapcdispatcher、kiuserexceptiondispatcher等。
2.csr系列:此系列函式用於客戶機和伺服器執行時,如果您想攔截客戶機/伺服器方面的操作,那麼就需要對csr系列核心函式做進一步的了解。常見的有:csrclientcallserver、csrcapturemessagebuffer、csrconnectclienttoserver和crsnewthread等。
3.ldr系列:本系列核心函式用於引導程式管理器,如果你打算攔截引導程式的話,那麼請進一步考察這組以ldr為字首的函式,常用的有:ldrinitializethunk、ldrlockloaderlock、ldrunlockloaderlock、ldrgetdllhandle、ldrgetprocedureaddress等。
4.dbg系列:本系列核心函式用於除錯管理,如果打算攔截除錯操作的話,那麼請進一步考察這組以dbg為字首的函式,常用的函式包括:、dbgbreakpoint、dbguserbreakpoint、dbgprint和dbguiconnecttodbg等。
5.etw系列:本系列核心函式用於追蹤視窗事件,如果你打算攔截追蹤之類的操作的話,那麼請進一步考察這組以etw為字首的函式。常用的函式包括:etwtraceevent、etwenabletrace、etwgettraceenablelevel和etwgettraceenableflags等。
6.rtl系列:本系列核心函式用於執行時庫,以rtl為字首的函式可以完成多種操作,例如字串、執行緒、資源、臨界區、安全物件的初始化和使用,記憶體、程序異常和資料型別的處理,還用於完成定時器、堆、ipv4和ipv6方面的操作,以及壓縮和解壓縮等。
7.pfx系列:本系列核心函式用於ansi字串操作,如果你打算攔截asni串表方面的操作的話,就需要進一步了解這些函式。常用的包括:pfxinitialize、pfxremoveprefix、pfxinsertprefix、pfxfindprefix等。
8.zw系列:本系列核心函式用於檔案和登錄檔方面的操作,比如檔案操作、登錄檔操作、訪問程序、事件操作、令牌操作、程序操作和埠操作等。
這裡介紹的只是核心函式中的一部分。
windows 核心函式字首解析
1.對於ring3 api主要由 kernel32.dll,user32.dll等dll匯出函式,2.對於核心函式,由ntoskrnl.exe匯出。可以直接用ida載入,在export欄中察看 可使用搜尋欄搜尋函式 注意 文件化 在export顯示的函式,說明函式已匯出,在wdk文件中,可查詢到的函...
linux 核心 hook函式介紹
在編寫linux核心中的網路模組時,用到了鉤子函式也就是hook函式。現在來看看linux是如何實現hook函式的。先介紹乙個結構體 struct nf hook ops,這個結構體是實現鉤子函式必須要用到的結構體,所在檔案 linux netfilter.h 定義為 typedef unsigne...
linux 核心鎖機制簡單介紹
在作業系統引入了程序概念,程序成為排程實體後,系統就具備了併發執行多個程序的能力,但也導致了系統中各個程序之間的 資源競爭和共享。另外,由於中斷 異常機制的引入,以及核心態搶占都導致了這些核心執行路徑 程序 以交錯的方式執行。對於這些交錯路徑執行的核心路徑,如不採取必要的同步措施,將會對一些關鍵資料...